PortSentry

2009-05-13 15:00:58来源:未知 阅读 ()

新老客户大回馈,云服务器低至5折


PortSentry
監視所有進來的網路交通,監聽指定的ports,偵測可能是port scan的網路交通。當這類情形發生,PortSentry將在black-hole route或IPFW rule中阻擋該遠端機器存取本機器。
【port的安裝路徑】
/usr/ports/security/portsentry
binary會安裝到/usr/local/bin
config會安裝到/usr/local/etc/portsentry.conf,要編輯這個設定檔
【編輯設定檔】
把portsentry.conf檔打開,可以發現裡面已做了很好的分類,也有清楚的英文解釋,這裡就只做簡單的介紹
一、先看一下Port Configurations這部份,這部份決定要讓PortSentry監視那些ports,其中用TCP_PORTS,UDP_PORTS列出了三組,光看ports數也知道第一組是最嚴格的,第三組是最鬆的,預設是用中間這一組。如果要改用不同組的設定,將前面的 # 拿掉(uncomment,移除註釋)就對了。也可以自訂。要記得把service有用到的port從裡面移除,否則這個service就白搭了。
二、找到Dropping Routes這部份,在這裡決定如何阻擋(block)可疑主機的方式,有二種:
1.用IPFW
2.block-hole route(若無IPFW時,用這種)
用拿掉KILL_ROUTE前面 # 的方式,選用所想要的阻擋方式
如果使用IPFW,找到下列的文字,拿掉KILL_ROUTE前的#
# For those of you running FreeBSD (and compatible) you can
# use their built in firewalling as well.
#
KILL_ROUTE="/sbin/ipfw add 1 deny all from $TARGET$:255.255.255.255 to any"
如果沒有用IPFW,就用block-hole route方式。找到下列的文字,拿掉KILL_ROUTE前的#
# FreeBSD
KILL_ROUTE="route add -net $TARGET$ -netmask 255.255.255.255 127.0.0.1 -blackhole"
【啟動指令】
一旦啟用block的方式,PortSentry就準備好可執行了,由於目前的版本portsentry-1.1,沒有自動執行的script,所以照以下做一個portsentry.sh,並放在/usr/local/etc/rc.d目錄,並設為可執行,以後系統開機後,PortSentry就會啟動。
#!/bin/sh
PORTSENTRY="/usr/local/bin/portsentry"
case "$1" in
start)
${PORTSENTRY} -tcp && echo " Starting PortSentry TCP mode..."
${PORTSENTRY} -udp && echo " Starting PortSentry UDP mode..."
;;
stop)
killall `basename ${PORTSENTRY}`
;;
*)
echo ""
echo "Usage: `basename $0` { start | stop }"
echo ""
;;
esac
【觀看目前監聽的ports】
當PortSentry執行時,可使用sockstat指令觀看目前正監聽哪些ports
# sockstat
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root portsent 119 0 udp4 *:1 *:*
root portsent 119 1 udp4 *:7 *:*
root portsent 119 2 udp4 *:9 *:*
root portsent 119 3 udp4 *:69 *:*
root portsent 119 4 udp4 *:161 *:*
root portsent 119 5 udp4 *:162 *:*
【偵測記錄】
當偵測到攻擊,會記錄在這兩個檔案:
TCP的記錄:/usr/local/etc/portsentry.blocked.tcp
UDP的記錄:/usr/local/etc/portsentry.blocked.udp
上述的設定檔裡面就可看到記錄的位置了
PortSentry就是依這兩個檔案來追蹤那些機器已經被block,下回再偵測到相同時,即不再做一次上述的block動作
看一下真實的記錄例子(這些兔崽子,吃飽沒事幹,跑來整我的機器!)

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:FreeBSD webmin

下一篇:Freebsd下安装防病毒软件clam手记